CJUE – Fashion ID – C-40/17

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-40/17

Nom:

Fashion ID

Date:

29 juillet 2019

Pays:

Allemagne

Lien:

Cliquer ici

Contexte

Fashion ID, entreprise de vente de vêtements de mode en ligne, a inséré sur son site Internet le module social « j’aime » du réseau social Facebook (ci-après le « bouton “j’aime” de Facebook »). La Verbraucherzentrale NRW, association d’utilité publique de défense des intérêts des consommateurs, reproche à Fashion ID d’avoir transmis à Facebook Ireland des données à caractère personnel appartenant aux visiteurs de son site Internet, d’une part, sans le consentement de ces derniers et, d’autre part, en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles. La Verbraucherzentrale NRW a ainsi intenté une action en cessation devant le Landgericht Düsseldorf (tribunal régional de Düsseldorf, Allemagne).

Par décision du 9 mars 2016, le Landgericht Düsseldorf (tribunal régional de Düsseldorf) a partiellement fait droit aux demandes de la Verbraucherzentrale NRW. Fashion ID a fait appel de cette décision devant l’Oberlandesgericht Düsseldorf (tribunal régional supérieur de Düsseldorf, Allemagne), la juridiction de renvoi. Facebook Ireland est intervenue lors de cet appel au soutien de Fashion ID. La Verbraucherzentrale NRW a, pour sa part, formé un appel incident, visant à étendre la condamnation de Fashion ID prononcée en première instance.

Apport(s)
Recours - Représentation des consommateurs par une association - Admission Extrait(s) pertinent(s)63. Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre à la première question que les articles 22 à 24 de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel. Article(s) du RGPD Article 80 – Représentation des personnes concernées Fait référence à > CJUE – Puškár – C-73/16 > CJUE – Breyer – C-582/14 > CJUE – IPI – C-473/12 > CJUE – Google Spain – C-131/12 > CJUE – ASNEF ET FECEMD – C-468/10 et C-469/10 > CJUE – Huber – C-524/06 > CJUE – Lindqvist – C-101/01 Autres informations
Gestionnaire d’un site internet équipé du bouton « j’aime » de Facebook - Responsabilité conjointe entre le gestionnaire du site et Facebook - Admission Extrait(s) pertinent(s)75. En l’occurrence, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, il ressort du dossier dont dispose la Cour que, en ayant inséré sur son site Internet le bouton « j’aime » de Facebook, Fashion ID semble avoir offert la possibilité à Facebook Ireland d’obtenir des données à caractère personnel des visiteurs de son site Internet, une telle possibilité étant déclenchée dès le moment de la consultation d’un tel site, et ce indépendamment du fait que ces visiteurs soient membres du réseau social Facebook ou qu’ils aient cliqué sur le bouton « j’aime » de Facebook ou encore qu’ils aient connaissance d’une telle opération. 76. Compte tenu de ces informations, il convient de constater que les opérations de traitement de données à caractère personnel dont Fashion ID est susceptible de déterminer, conjointement avec Facebook Ireland, les finalités et les moyens sont, au regard de la définition de la notion de « traitement à caractère personnel » figurant à l’article 2, sous b), de la directive 95/46, la collecte et la communication par transmission des données à caractère personnel des visiteurs de son site Internet. Article(s) du RGPD Article 24 – Responsabilité du responsable du traitement Article 26 – Responsables conjoints du traitement Fait référence à > CJUE – Jehovan todistajat – C-25/17 > CJUE – Wirtschaftsakademie Schleswig-Holstein – C-210/16 > CJUE – Google Spain – C-131/12 Autres informations
Responsable de traitement - Gestionnaire d'un site internet insérant le module "j'aime" de Facebook - Admission - Limites Extrait(s) pertinent(s)85. Eu égard à l’ensemble des considérations qui précèdent, il convient de répondre à la deuxième question que le gestionnaire d’un site Internet, tel que Fashion ID, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause. Article(s) du RGPD Article 4 – Définitions Fait référence à > CJUE – Jehovan todistajat – C-25/17 > CJUE – Wirtschaftsakademie Schleswig-Holstein – C-210/16 > CJUE – Google Spain – C-131/12 Autres informations
Responsabilité conjointe entre le gestionnaire d’un site internet équipé du bouton « j’aime » et Facebook - Nécessité que les responsables poursuivent chacun un intérêt légitime Extrait(s) pertinent(s)97. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la quatrième question que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, [article 6 du RGPD] afin que celles-ci soient justifiées dans son chef. Article(s) du RGPD Article 6 – Licéité du traitement Fait référence à > CJUE – Rïgas satiksme – C-13/16 > CJUE – Bara e.a – C-201/14 > CJUE – Google Spain – C-131/12 Autres informations
Portée du consentement que peut solliciter le responsable du traitement et de son obligation d'information (directive 95/46) - Traitements mis en place par des tiers - Rejet Extrait(s) pertinent(s)106. Eu égard aux considérations qui précèdent, il convient de répondre aux cinquième et sixième questions que l’article 2, sous h), et l’article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, le consentement visé à ces dispositions doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens. En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire, l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens. Article(s) du RGPD Article 6 – Licéité du traitement Article 13 – Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée Fait référence à > CJUE – IPI – C-473/12 > CJUE – Rijkeboer – C-553/07 Autres informations